Integrantes:
- Gastón Chamba
- Frank Maldonado
- Richard Rivera
- Ángel Songor
diapositivas-exposicion-seguridad-de-redes.ppt

Resumen—La identificación de ataques  consiste en descubrir  las  vulnerabilidades de una red  y tener acceso a la  misma, y de esta forma poder modicar  o eliminar archivos.

Se debe de tener en cuenta que podemos  realizar  los ataques de manera física y lógica.

Ataque Fisico._es aquel que lo podemos realizar   a la infraestructura de una red es decir al hardware.

Ataque Logico._consiste el descubrir las vulnerabilidades   del software implantadas por  la compañía.

1._ÍNDICE DE TÉRMINOS

Ataque WIFI._este tipo de ataques se basa en el engaño y básicamente en la suplantación de identidades y/o dispositivos pertenecientes a la Red Inalámbrica Wifi atacada.

Snifers._ es un programa de captura de las tramas de red. Generalmente se usa para gestionar la red con una finalidad docente, aunque también puede ser utilizado con fines maliciosos.

.

2._Procedimiento Teorico

2.1. Determine los tipos de ataques que podrían ser más dañinos para Ud. (Ataques de acceso, modificación, denegación de servicio y de modificación)

Ataques de acceso: un ataque de acceso en un sistema o red para nosotros sería perjudicial por que al entrar en la red o sistema puede alterar documentos, cambiar contraseñas, borrar archivos.

Snifers al tener en nuestra  red intrusos podemos darnos cuenta que la persona que realiza el ataque obtiene el camino directo para administrar  parte  de lo que él pueda cifrar, y con eso perjudicar a la empresa o red involucrada.

Ataques con programas ejecutados en lenguaje máquina, son bastante peligrosos por que entran a nuestra red sin que los dueños nos percatemos en algún archivo o descarga web, y desde el interior del sistema suministra datos a la persona que realiza el ataque.

Ataques web cuando en páginas piden claves, números de tarjeta, ip de maquinas con eso damos acceso a posibles ataque peligrosos para la red.

El ataque de virus en la red es muy peligroso también , no solo los visibles en el sistema operativo sino los que se encuentran en la red mismo por ejemplo los que borran los paquetes de bits y con ello no dejan llegar la información

2.2. Indique la forma en la que detectaría los ataques en el caso de que Ud. sufriera alguno de los mencionados en el literal 2.3

Ataques de acceso

Al tener un ataque de acceso lo importante es tener un historial de archivos, documentos,  diario, en el cual se pueda ver alguna alteración que sufriese la red.

Snifers

Ver cuántos accesos tuvo la red en un tiempo determinado y estudiar el acceso de entrada y verificar que haya sido de personal interno de la red y no un ataque externo.

Ataques con programas en lenguaje máquina

No grabar, ni instalar programas de procedencia dudosa en las máquinas que se encuentren en la red así podemos evitar a los programas intrusos  que traten de ingresar, y al hacerlo monitorear todos los archivos que ingresan a los computadores ocultos y visibles.

Ataques web cuando en páginas piden claves

No brindar la información de claves personales, de números de tarjetas de            crédito, cuentas corrientes o información personal, la forma de detectar estos intrusos es no usar claves sencillas o de la vida cotidiana (números de cedula, números de celular, nombre de la familia) sino accesos difíciles de ingresar

Virus en la red

Utilizar software adecuado para eliminar estos  programas y revisar continuamente el hardware en la red para evitar ataques físicos a la red que son muy peligrosos.

2.3 Indique los métodos o técnicas que utilizaría para evitar vulnerabilidades  de su red LAN.

Métodos y técnicas

Bloquear el acceso a la red a un determinado número de intentos de acceso.

Por ejemplo que al tercer intento de poner una contraseña se bloquee el sistema y que solo el administrador pueda recuperar al sistema.

Utilizar muros contra fuegos o firewall que protege de no puedan ingresar al sistema programas nocivos o de dudosa procedencia.

Utilizar un antivirus actualizado y de último nivel el 70% de las invasiones y daños en la red son provocados por virus y la mayoría simples que borran archivos de la computadora.

Cambiar continuamente de contraseñas de acceso a la red, especialmente cuando alguien salga de la empresa.

Controlar los paquetes de bits que ingresan a la máquina con software el  especificado con eso evitamos un ataque en el sistema

Monitorear la red tanto física como lógica constantemente con el objetivo de detectar la presencia de intrusos en la red.

lógica constantemente con el objetivo de detectar la presencia de intrusos en la red.

4._BIBLIOGRAFIA

http://micronetch.com/blog/?p=80.

http://www.mexis.net/pdf/seguridad-LAN.pdf.

http://www.mundo-contact.com/Acervo/mty2006_mentehacker.pdf?PHPSESSID=9544a9064207e45b75a3f374587392eb.

http://www.iec.csic.es/gonzalo/descargas/SeguridadWiFi.pdf.

Caso estudio hacker y cracker
Ataque hacker a un servidor de Microsoft:
El intruso logró colarse por un fallo de seguridad del servidor con software de esta misma compañía, detectado el pasado mes de agosto y cuyo parche fue puesto a disposición de sus clientes el día 10 de ese mismo mes.

Un boletín de seguridad de esta compañía recomendaba a sus usuarios la instalación de un parche “inri” para solucionar este fallo de seguridad, denominado Unicode.

El pirata, que usa el alias Dimitri, aseguró que Microsoft no había instalado este parche lo que hacía vulnerables sus servidores web.

El ‘hacker’ calificó como “torpeza” el que Microsoft no instale sus propios parches.

Dimitri afirma que logró incluir un archivo de texto en el que se leía ‘Hack the planet’ (piratea el planeta).

Asimismo, señala que tuvo la posibilidad de alterar algunos archivos del sitio de descargas de Microsoft y haber incluído en los mismos algún virus ‘troyano’.

El pirata informático descargó archivos con los nombres y contraseñas de los usuarios del servidor.

Según declaraciones de este ‘hacker’, el dominio del servidor se llama Houston y todos los servidores web de Microsoft están configurados de la misma forma y con la misma imagen de disco.

Por su parte, el portavoz de Microsoft Adam Sohn confirmó la entrada del ‘hacker’ al menos en un servidor, añadiendo que el personal de seguridad de la compañía estaba verificando los servidores para parchear los agujeros.

Según este portavoz, el servidor estaba en proceso de retirada, redireccionando a los visitantes hacia otro área Red con contenidos más actualizados.
GRACIAS

Por: Agreda Roger, Martinez Vicente

DEFINICIÓN
El término cracker (del inglés crack, romper) tiene varias acepciones, entre las que podemos observar las siguentes:
• Es una persona que mediante ingeniería inversa realiza: seriales, keygens y cracks, los cuales sirven para modificar el comportamiento o ampliar la funcionalidad del software o hardware original al que se aplican, sin que en absoluto pretenda ser dañino para el usuario del mismo.
• Es alguien que viola la seguridad de un sistema informático de forma similar a como lo haría un hacker, sólo que a diferencia de este último, el cracker realiza la intrusión con fines de beneficio personal o para hacer daño.
El término deriva de la expresión “criminal hacker”, y fue creado alrededor de 1985 por contraposición al término hacker, en defensa de éstos últimos por el uso incorrecto del término.
Se considera que la actividad realizada por esta clase de cracker es dañina e ilegal.
TIPOS DE CRACKERS
• Pirata: su actividad consiste en la copia ilegal de programas, rompiendo su sistema de protección y licencias. Luego el programa es distribuido por Internet, CDs, etc.
• Lammer: se trata de personas con poco conocimiento de informática, que normalmente buscan herramientas fáciles de usar para atacar a ordenadores, sin saber mucho de ellas, en ocasiones causando grandes daños.
• Phreaker: son los crackers en línea telefónica. Se dedican a atacar y romper sistemas telefónicos ya sea para dañarlos o hacer llamadas gratuitas.
• Trasher: traducido al español es basurero, se trata de personas que buscan en las papeleras de los cajeros automáticos para conseguir claves de tarjetas, números de cuentas bancarias e información general para cometer estafas y actividades fraudelentas a través de Internet.
• Insiders: son los crackers corporativos, empleados de la empresa que atacan desde dentro, movidos usualmente por la venganza.
OBJETIVOS y MOTIVACIONES
• Destruir parcial o totalmente el sistema
• Obtener un beneficio personal (tangible o intangible) como consecuencia de sus actividades
• En ocasiones el cracking es la única manera de realizar cambios sobre software para el que su fabricante no presta soporte, especialmente cuando lo que se quiere es, o corregir defectos, o exportar datos a nuevas aplicaciones, en estos casos (sólo en estos casos) en la mayoría de legislaciones no se considera el cracking como actividad ilegal.
• Lo atractivo de lo prohibido;
• Interés financiero;
• Interés político;
• Deseo de reconocimiento;
• Venganza;
• Deseo de dañar (destruir datos, hacer que un sistema no funcione)
HERRAMIENTAS DE LOS CRACKERS
• DESENSAMBADOR: es un programa de computación que traduce desde el lenguaje máquina (código binario) hacia el lenguaje ensamblador.
• ENSAMBLADOR: se refiere a un tipo de programa informático que se encarga de traducir un fichero fuente escrito en un lenguaje ensamblador, a un fichero objeto que contiene código máquina, ejecutable directamente por la máquina para la que se ha generado.
• DEPURADOR: Un depurador (en inglés, debugger), es un programa que permite depurar o limpiar los errores de otro programa informático.
• EDITOR HEXADECIMAL: (o editor de archivos binarios) es un tipo de programa de ordenador que permite a un usuario modificar archivos binarios.

Un cracker que pretenda crackear un sistema informático, primero busca fallas, es decir vulnerabilidades que puedan afectar la seguridad del sistema en protocolos, sistemas operativos, aplicaciones e incluso a los empleados de una organización. Los términos vulnerabilidad, infracción y el más informal carencia de seguridad también se usan para referirse a las fallas de seguridad.
Para poder sacar provecho de un punto vulnerable (el término técnico para aprovechar una falla), el cracker primero debe recuperar una cantidad máxima de información acerca de la arquitectura de red y acerca de los sistemas operativos y aplicaciones que se ejecutan en esta red. La mayoría de los ataques son producto de crackers inexpertos que intentan usar los puntos vulnerables que encuentran en Internet, sin conocimiento del sistema ni de los riesgos relacionados.
Una vez que el cracker asigna el sistema, podrá aplicar estas formas de explotación de los puntos vulnerables a las versiones de las aplicaciones que ha catalogado. El acceso inicial a un equipo le permitirá expandir su acción para recuperar otra información y posiblemente elevar sus privilegios en el equipo.
Cuando se obtiene acceso de administrador (generalmente se usa el término acceso de raíz) decimos que el equipo está en peligro (o, más precisamente, que se ha producido un peligro de raíz) ya que los archivos del sistema se han modificado. En este punto, el cracker tiene todos los derechos del equipo.
Si el intruso es un pirata, al finalizar eliminará sus huellas para evitar sospechas por parte del administrador de la red en peligro y para retener el control sobre los equipos en peligro durante el mayor período de tiempo posible.
Recuperación de información del sistema
La información acerca de la dirección de red de destino, a la que generalmente se llama huella digital, debe obtenerse antes de realizar un ataque. Esto incluye recabar la máxima cantidad posible de información acerca de las infraestructuras de comunicación de red:
• Direcciones IP,
• Nombres de dominio,
• Protocolos de red,
• Servicios activados,
• Arquitectura del servidor,
• etc.
Consulta de las bases públicas
Al obtener la dirección IP pública de un equipo de red o simplemente el nombre de dominio de la organización, un pirata puede conocer potencialmente las direcciones de toda la red, es decir, el rango de las direcciones IP públicas que pertenecen a la organización de destino y su división en subredes. Para ello, todo lo que necesita es consultar las bases públicas que atribuyen las direcciones IP y los nombres de dominio:
• http://www.iana.net
• http://www.ripe.net para Europa
• http://www.arin.net para los Estados Unidos
Consulta de los motores de búsqueda
La consulta simple de los motores de búsqueda a veces posibilita recabar información acerca de la estructura de una compañía, los nombres de sus productos principales e incluso los nombres de algunos de los empleados.
Análisis de red
Cuando un pirata conoce la topología de una red, puede analizarla, es decir, usar un software como herramienta (llamado analizador) para determinar las direcciones IP activas en la red, los puertos abiertos que corresponden a los servicios accesibles y al sistema operativo utilizado por sus servidores.
Una de las herramientas de análisis de red más conocidas es Nmap, que muchos administradores reconocen como una herramienta esencial para la seguridad de las redes. Esta herramienta actúa mediante el envío de paquetes TCP y/o UDP a un grupo de equipos en una red (determinada por una dirección de red y una máscara) y su posterior análisis de las respuestas. Según la velocidad de los paquetes TCP recibidos, puede determinar el sistema operativo remoto para cada equipo analizado.
Existe otro tipo de analizador, llamado asignador pasivo (uno de los más conocidos es Siphon), que permite encontrar la topología de red del proceso físico a través del cual el asignador analiza los paquetes. A diferencia de los analizadores anteriores, esta herramienta no envía paquetes por la red y por lo tanto los sistemas de detección de intrusiones no pueden detectarla.
Además, algunas herramientas permiten recibir conexiones X (un servidor X es un servidor que administra las pantallas en los equipos tipo UNIX). Este sistema está diseñado para usar la pantalla de las estaciones presentes en la red para estudiar qué está publicado en las pantallas y posiblemente interceptar las claves ingresadas por los usuarios de equipos vulnerables.
Obtención del titular
Cuando finaliza el análisis de la red, el pirata necesita examinar el archivo de registro de las herramientas para averiguar las direcciones IP de los equipos conectados y los puertos abiertos en la red.
Los números de los puertos abiertos en los equipos pueden proporcionar información acerca del tipo de servicio abierto e invitarle a interrogar el servicio para obtener información adicional acerca de la versión del servidor en la información conocida con el nombre de “titular”.
Ingeniería social
La ingeniería social consiste en manipular personas, es decir, aprovecharse de la inocencia y bondad de los usuarios de redes para obtener información acerca de la red. Este proceso consiste en contactar un usuario de una red, normalmente haciéndose pasar por otra persona, para obtener información acerca del sistema informático y probablemente para obtener directamente una contraseña. En forma similar, se puede crear una falla de seguridad en el sistema remoto al enviar un troyano a alguno de los usuarios de la red. Lo único que se necesita es que uno de los usuarios abra el adjunto para que el atacante externo obtenga el acceso a la red interna.
Éste es el motivo por el que las políticas de seguridad deberían ser más exhaustivas e incorporar los factores humanos (por ejemplo, concienciar a los usuarios acerca de los problemas de seguridad), ya que el nivel de seguridad de un sistema se caracteriza por su eslabón más débil.
Detección de fallas
Después de realizar un inventario del software y probablemente del hardware presentes, el cracker debe determinar si existen fallas o no.
Existen escáneres de vulnerabilidad disponibles que les permiten a los administradores someter a las redes a pruebas de intrusión para averiguar si ciertas aplicaciones tienen fallas de seguridad. Los dos principales son:
• Nessus
• SAINT
También se les aconseja a los administradores de red que visiten regularmente las páginas Web que mantienen actualizadas las bases de datos de vulnerabilidades:
• SecurityFocus / Vulnerabilidades
Además, algunas asociaciones, en particular los CERT (por la sigla en inglés de Equipos de Respuesta ante Emergencias Informáticas) están a cargo de la explotación de las vulnerabilidades y de recabar información sobre los problemas de seguridad.
• CERT IST dedicado a la comunidad de la industria, los servicios y el sector terciario franceses,
• CERT IST dedicado a la administración francesa,
• CERT Renater dedicado a la comunidad de los miembros de GIP RENATER (Réseau National de télécommunications pour la Technologie, l’Enseignement et la Recherche).
Intrusión
Cuando un pirata ha asignado los recursos y equipos presentes en una red, está listo para preparar su intrusión.
Para poder infiltrarse en la red, el pirata debe acceder a las cuentas válidas en los equipos que ha catalogado. Para hacerlo, los piratas usan varios métodos:
• La ingeniería social, es decir, el contacto directo con ciertos usuarios de red (por correo electrónico o teléfono) para sacarles información acerca de su identificación de usuario o contraseña. Esto se lleva a cabo normalmente haciéndose pasar por el administrador de red.
• La consulta del directorio o de los servicios de mensajería o de uso compartido de archivos permite encontrar nombres de usuario válidos.
• Aprovecharse de las vulnerabilidades en los comandos Berkeley R*.
• Irrumpir por la fuerza, que implica varios intentos automáticos de ingreso de contraseñas en una lista de cuentas (por ejemplo, la identificación seguida por un número o la contraseña password o passwd, etc.).
Aumento de privilegios
Cuando un pirata obtiene uno o más accesos a la red al trabajar en una o más cuentas con niveles de protección bajos, intentarán aumentar sus privilegios obteniendo un acceso a la raíz. Esto se denomina elevación de privilegios.
En cuanto obtiene el acceso a la raíz de un equipo, el atacante puede examinar la red para buscar información adicional.
Después podrá instalar un rastreador de puertos, es decir, un software capaz de supervisar (también se usa el término rastrear) el tráfico de red que proviene o que está dirigido a los equipos ubicados en el mismo proceso. Gracias a esta técnica, el pirata tiene la esperanza de recuperar los pares ID/contraseña que le brindan acceso a las cuentas con privilegios extendidos a otros equipos de red (por ejemplo, el acceso a una cuenta de administrador) para poder controlar a la mayoría en la red.
Los servidores NIS presentes en una red también son destinos preferidos de los piratas ya que abundan en información sobre la red y sus usuarios.
Situación de Riesgo
Gracias a los pasos anteriores, el pirata pudo diseñar un completo mapa de la red, de sus equipos y sus fallas, y tiene acceso a la raíz de al menos uno de ellos. Ahora puede extender aun más allá su campo de acción al aprovecharse de las relaciones de confianza que existen entre los equipos.
Esta técnica de suplantación de identidad les permite a los piratas penetrar en redes privilegiadas a las que el equipo en peligro tiene acceso.
Puerta trasera
Cuando un pirata logra infiltrarse en la red de una empresa y pone en peligro un equipo, es posible que desee volver. Para hacerlo, instalará una aplicación para crear artificialmente una vulnerabilidad de seguridad. Esto se llama puerta trasera y algunas veces también se usa el término puerta trampa.
Borrar el rastro
Una vez que el intruso ha obtenido suficiente control de la red, debe borrar las evidencias de su visita mediante la eliminación de los archivos que creó y los archivos de registro de los equipos a los que accedió, es decir, debe eliminar todas las huellas de actividad relacionadas con sus acciones.
También existen programas llamados “rootkits” que permiten remplazar las herramientas de administración del sistema con versiones modificadas para ocultar la presencia del pirata en el sistema. Si el administrador se conecta al mismo tiempo que el pirata, es posible que se dé cuenta de los servicios que el pirata ha ejecutado o que simplemente vea que hay otra persona conectada en simultáneo. El objetivo de un rootkit es, por lo tanto, engañar al administrador al ocultar la realidad.

REFERENCIAS:

CRACKER: http://es.wikipedia.org/wiki/Cracker
SEGURIDAD METODOLOGIA DE LA PROGRAMACIÓN: http://es.kioskea.net/contents/attaques/methodologie.php3

caso-de-estudio-amenazasx

NOMBRES: José Andrés Armijos Peña
Santiago Israel Buri Castillo

ATAQUES DE DENEGACIÓN DE SERVICIOS

• (DoS, Denial-of-Service) son ataques que niegan el uso de los recursos a los usuarios legítimos del sistema, de la información o de la capacidades.

• Provoca la pérdida de la conectividad de la red por el consumo del AB de la red de la víctima.

• Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue. Utilizan el protocolo TCP/IP.

Métodos de Ataques

Ataque de la inundación

El atacante envía más tráfico que la víctima podía manejar. Esto requiere que el atacante tiene una conexión de red más rápida que la víctima.

Ataque SYN

El atacante inunda el objetivo con mensajes SYN falsa para aparentar ser inalcanzable de las direcciones de Internet

1-Cliente ——-SYN—–>  2 Servidor

4-Cliente <—–SYN/ACK—- 3 Servidor

5-Cliente ——-ACK——> 6 Servidor

Ataque LAND (LAND attack)

Se realiza al enviar un paquete TCP/SYN falsificado con la dirección del servidor objetivo como si fuera la dirección origen y la dirección destino a la vez.

Inundación ICMP (ICMP floods)

Consiste en enviar de forma continua un número elevado de paquetes ICMP echo request (ping) de tamaño considerable a la víctima, de forma que esta ha de responder con paquetes ICMP echo reply (pong).

Smurf

El atacante dirige paquetes ICMP echo request a una dirección IP de broadcast.

ATAQUES DE REFUTACIÓN

Es un ataque en contra de la responsabilidad de la información o proporcionando información falsa en una transacción o evento ocurridos.

• Simulación: Actuar como, o hacerse pasar, por alguien más o por algún otro sistema. Denegación de un evento: negar que la acción se haya realizado como fue registrada

• Denegación de un evento: negar que la acción se haya realizado como fue registrada.

POR: Tuesman Castillo

Jaime Romero

Integridad

La integridad se define como: ¨Garantía de la exactitud de la información frente a la alteración, pérdida o destrucción, ya sea de forma accidental o fraudulenta¨, y se refiere a la fidelidad de la información que debe mantenerse entre el emisor y el receptor. La transmisión de datos de un punto a otro o de un punto a multipuntos, implica que habrá un momento en el cual la información ha de estar viajando por un medio ya sea guiado o no guiado, durante ese trayecto puede ser alterada por una persona no autorizada. Este problema potencialmente peligroso puede ser corregido con un servicio de integridad que garantice que la información recibida sea una fiel copia de la información enviada.
• Archivos
Los archivos de papel son por lo general más fáciles de proteger en su integridad que un archivo digital, es decir que un archivo digital puede ser modificado por cualquiera que tenga acceso a él.
Existen varias maneras de proteger los archivos en papel de una modificación:
• Paginas firmadas.
• Un sello.
• Almacenar la información en un libro.
• Distribuir copias del archivo.
Estos mecanismos de integridad se emplean para impedir la modificación no autorizada o para evitar la degradación de la misma, otra de las maneras para evitar la modificación de la información en papel es restringir a un grupo pequeño el acceso a la misma.

En los archivos electrónicos la modificación es mucho más fácil y mucho menos perceptible, ya que cuándo un archivo es guardado, la nueva información toma su lugar. La principal forma de proteger los archivos es el control de acceso a los archivos, sin embargo este no está configurado para denegar completamente el acceso, si no para que aunque permita la lectura del archivo, no permita hacerle modificaciones.
Una de las seguridades a implementarse para evitar la pérdida de integridad de un archivo electrónico, es un mecanismo conocido como firma digital (Método de autentificación y validación mediante la encriptación).

Los permisos de acceso a archivos funcionan bien si se los implementa dentro de un sistema o de una LAN.

• Intercepción durante la transmisión.

Es casi imposible evitar una modificación de la información mal intencionada durante la transmisión, ya que los medios de transmisión por lo general son públicos, la intercepción mediante sniffers puede ser una amenaza potencial, una buena implementación de un sistema de encriptación puede ser la solución a esta amenaza.
• Ataques que pueden ser evitados

Un ataque de modificación puede no tener éxito si el servicio de integridad está funcionando adecuadamente, una correcta implementación de un sistema de autenticación e identificación y un sistema de integridad pueden impedir la modificación no autorizada. La firma digital es un mecanismo válido para evitar una modificación.

Definición de riesgos
Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo, de manera cuantitativa el riesgo es una medida de las posibilidades de incumplimiento o exceso del objetivo planteado; así definido, un riesgo conlleva dos tipos de consecuencias: ganancias o pérdidas.
En lo relacionado con tecnología, generalmente el riesgo se plantea solamente como amenaza, determinando el grado de exposición a la ocurrencia de una pérdida (por ejemplo el riesgo de perder datos debido a rotura de disco, virus informáticos, etc.).
La Organización Internacional por la Normalización (ISO) define riesgo tecnológico (Guías para la gestión de la seguridad de TI /TEC TR 13335-1, 1996) como:
“La probabilidad de que una amenaza se materialice, utilizando vulnerabilidades existentes de un activo o un grupo de activos, generándole perdidas o daños”.
Administración y análisis de riesgos
Como herramienta de diagnóstico para poder establecer la exposición real a los riesgos por parte de una organización se recurre a lo que se llama Análisis de Riesgos. Este análisis tiene como objetivos identificar los riesgos (mediante la identificación de sus elementos) y lograr establecer el riesgo total (o exposición bruta al riesgo) y luego el riesgo residual, tanto sea en términos cuantitativos o cualitativos.
Cuando se refiere al riesgo total, se trata de la combinación de los elementos que lo conforman.
Comúnmente se calcula el valor del impacto promedio por la probabilidad de ocurrencia para cada amenaza y activo.
De esta manera tendremos, para cada combinación válida de activos y amenazas:

RT (riesgo total) = probabilidad x impacto promedio

Por ejemplo, si la probabilidad de incendios en el año es de 0.0001 y el impacto promedio en términos monetarios de los activos amenazados por un incendio es $600.000, la exposición al riesgo anual es de 60. A este cálculo se debe agregar el efecto de medidas mitigantes de las amenazas, generándose el riesgo residual. El riesgo residual es el riesgo remanente (que queda de algo) luego de la aplicación de medidas destinadas a minimizar los riesgos existentes.
El ciclo de administración de riesgo se cierra (luego de efectuar las tareas referentes al análisis) con la determinación de las acciones a seguir respecto a los riesgos residuales identificados.
Estas acciones pueden ser:

Controlar el riesgo: Se fortalecen los controles existentes o se agregan nuevos.
Eliminar el riesgo: Se elimina el activo relacionado y por ende el riesgo.
Compartir el riesgo: Mediante acuerdos contractuales se traspasa parte del riesgo. (o su totalidad) a un tercero (un ejemplo son los seguros).
Aceptar el riesgo: Determinar que el nivel de exposición es adecuado.
La opción elegida deberá ser adecuadamente fundamentada y autorizada por el nivel jerárquico correspondiente sobre la base del riesgo asociado.

Proceso de administración del riesgo
El proceso de administración de riesgos es un proceso continuo, dado que es necesario evaluar periódicamente si los riesgos identificados y la exposición a los mismos calculada en etapas anteriores se mantienen vigentes. La dinámica en la cual se ven inmersa las organizaciones actualmente demanda este esfuerzo día a día. Es por eso que ante cada nuevo emprendimiento se realice en tempranas etapas (sería recomendable luego de fijar los objetivos) un análisis de riesgo del referido proyecto así como su impacto futuro en la estructura de riesgos de la organización.
Controles
Los procedimientos efectuados para lograr asegurar el cumplimiento de los objetivos son definidos como controles.
El ayudar al cumplimiento de las metas indica claramente que estos procedimientos tienen un efecto directo mitigante sobre los riesgos existentes.
Como se describió anteriormente estas acciones mitigantes logran actuar sobre el riesgo total reduciendo la exposición al mismo a una medida menor (riesgo residual).
Por lo establecido anteriormente existe una relación biunívoca entre riesgo y control, es por ello que se intenta cuantificar el riesgo al calcular el Riesgo Total (RT). El valor resultante indica cual debería ser el costo asociado al control que actúa sobre ese riesgo para ser eficiente.
Para ilustrar mejor se vuelve al ejemplo anterior en el cual el RT calculado para un activo referente a la amenaza: incendio, es de $60, por lo tanto los costos anuales asociados al control que debo implantar no deben ser muy superiores a esa cifra, dado que si lo fueran estaría gastando más en la realidad que lo que eventualmente podría perder.
Los distintos procedimientos de controles pueden ser agrupados (sobre la base de los objetivos primarios que quieren satisfacer) en tres categorías, aquellos integrantes del sistemas de control interno, aquellos referidos a brindar seguridad y aquellos destinados a brindar calidad de las operaciones.
Estas categorías no son excluyentes, o sea existen procedimientos que se repetirán dentro de las tres categorías.
Como se estableció anteriormente la agrupación se realiza sobre la base de objetivos de alto nivel que se quieren satisfacer, o sea estos procedimientos buscan que la información que procesan cuenten con cierta característica independientemente del objetivo específico por el cual fue creado (que como se estableció lo determinan los riesgos existentes).
De esta manera se establece para cada grupo los objetivos a cumplir. Esta definición no es arbitraria sino que se basa en los marcos de referencia más recibidos, a saber COSO6, ISO, SAC, etc.

• Control Interno: Este busca asegurar eficiencia y eficacia de las operaciones, cumplimiento de leyes, normas y regulaciones, y confiabilidad de la información (básicamente aquella publicable).

• Seguridad: Busca asegurar la disponibilidad, confidencialidad e integridad de las operaciones.

• La gestión de calidad: Busca asegurar la adecuada calidad, entrega y costo de las operaciones.
El adecuado cumplimiento de los objetivos anteriormente detallados permitirá alcanzar una razonable seguridad en el cumplimiento de los objetivos planteados para los diversos procedimientos de TI.
Los controles aplicables a los procesos vinculados a los procesos de TI se establecen en dos capas.
La primera llamada de controles generales, contiene aquellos controles aplicables a los procesos que afectan a todo el procesamiento de información.
Y la segunda llamada de controles de aplicación, que contiene los controles contenidos en las diferentes aplicativos que soportan determinados procesos del negocio y por ende procesan solamente determinado tipo de información.
Los controles generales se dividen en controles de acceso al sistema, estructura organizacional adecuada, mantenimiento de la continuidad del procesamiento y controles sobre cambios no autorizados.
Mientras que los controles de aplicación se dividen en controles de acceso a los aplicativos, controles de ingreso de datos a los aplicativos, controles de procesamiento de los aplicativos y controles sobre rechazos de los mismos.
La relación existente entre estos dos grupos de controles puede establecerse como piramidal, donde los controles generales son la base y los controles de aplicación se distribuyen sobre esta base hasta el vértice superior de esta pirámide virtual.
De lo anterior podemos concluir que una inadecuada estructura de controles generales no puede ser mitigada por una adecuada estructura de controles de aplicación.

Diego Alexander Sanmartin
Miguel Angel Masache Ojeda

ATAQUES DE DENEGACIÓN DE SERVICIOS

• (DoS, Denial-of-Service) son ataques que niegan el uso de los recursos a los usuarios legítimos del sistema, de la información o de la capacidades.

• Provoca la pérdida de la conectividad de la red por el consumo del AB de la red de la víctima.

• Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue. Utilizan el protocolo TCP/IP.

Métodos de Ataques

Ataque de la inundación

El atacante envía más tráfico que la víctima podía manejar. Esto requiere que el atacante tiene una conexión de red más rápida que la víctima.

Ataque SYN

El atacante inunda el objetivo con mensajes SYN falsa para aparentar ser inalcanzable de las direcciones de Internet

1-Cliente ——-SYN—–>  2 Servidor

4-Cliente <—–SYN/ACK—- 3 Servidor

5-Cliente ——-ACK——> 6 Servidor

Ataque LAND (LAND attack)

Se realiza al enviar un paquete TCP/SYN falsificado con la dirección del servidor objetivo como si fuera la dirección origen y la dirección destino a la vez.

Inundación ICMP (ICMP floods)

Consiste en enviar de forma continua un número elevado de paquetes ICMP echo request (ping) de tamaño considerable a la víctima, de forma que esta ha de responder con paquetes ICMP echo reply (pong).

Smurf

El atacante dirige paquetes ICMP echo request a una dirección IP de broadcast.

ATAQUES DE REFUTACIÓN

Es un ataque en contra de la responsabilidad de la información o proporcionando información falsa en una transacción o evento ocurridos.

• Simulación: Actuar como, o hacerse pasar, por alguien más o por algún otro sistema. Denegación de un evento: negar que la acción se haya realizado como fue registrada

• Denegación de un evento: negar que la acción se haya realizado como fue registrada.

POR: Tuesman Castillo

Jaime Romero

Introducción:

Un principio fundamental de seguridad es la disponibilidad. Es la propiedad que requiere que los recursos de un sistema abierto sean accesibles y utilizables cuando se realice una petición de una entidad autorizada. También permite que los sistemas de comunicaciones transmitan información entre ubicaciones o sistemas de cómputo.

Algunas medidas tomadas son el uso de respaldos, recuperación de fallas, recuperación de desastres y acciones para evitar ataques.

En si la disponibilidad es garantizar el correcto funcionamiento de los sistemas de información.

El servicio de disponibilidad mantiene la utilidad de la información. Esta permite a los usuarios tener acceso a  los sistemas de cómputo, a la información en los sistemas  y a las aplicaciones que realizan operaciones sobre la información. También permite que los sistemas de comunicaciones  transmitan información entre ubicaciones o sistemas de cómputo. A menudo se piensa que la información y las capacidades  a las que nos referimos cuando hablamos  de disponibilidad  sean todas electrónicas. Sin embargo, la disponibilidad de los archivos de información en papel también puede ser protegida.

Respaldos:

Los respaldos son la forma más simple de disponibilidad. El concepto es tener una segunda copia de la información importante almacenada en una ubicación segura. Los respaldos pueden ser archivos en papel cuando son documentos importantes o pueden ser electrónicos como por ejemplo cintas de respaldo de computadora. Los respaldos evitan la perdida completa de la información en el caso de una destrucción accidental o malintencionada de los archivos.

Las ubicaciones seguras para los respaldos pueden estar en el mismo sitio, en un recinto o contorno  a prueba de incendios o bien en un sitio remoto con medidas de seguridad física.

Mientras que los respaldos mantienen la disponibilidad de la información, no necesariamente mantienen la disponibilidad de manera oportuna. Esto significa que los respaldos pueden tener que ser recuperados desde una ubicación remota, transportados hasta las instalaciones de la organización, y cargados en el sistema apropiado en un tiempo requerido por cada aplicación o sistema.

Nota:Incluso cuando existen respaldos, todavía es posible que los archivos queden eliminados por un acto accidental o malintencionado. Si el acto destructivo ocurrió hace mucho tiempo, es posible que la cinta con el archivo ya no exista. Es importante incluir un mecanismo de detección para identificar los archivos importantes que estén perdidos dentro de una cantidad razonable de tiempo. Recuperación de fallas:

Conocido como Fail-over. Esta mantiene la reconstitución de la información o de una capacidad. A diferencia de los respaldos; los sistemas configurados con recuperación de falas pueden detectar los fallos y restablecer una capacidad  ya sea de procesamiento, acceso a la información  o comunicaciones, mediante un proceso automático a través del uso de hardware redundante.

Nota:Los mecanismos de disponibilidad pueden ser los más costosos en una organización. Es muy importante  seguir un procedimiento de administración de riegos apropiado, para determinar los tipos de mecanismos que deberían ser implementados. Recuperación de desastres:La recuperación de desastres protege sistemas, información y capacidades de los grandes desastres, como incendios e inundaciones. La recuperación de desastres  es un proceso complicado que reconstituye a una organización cuando las instalaciones completas o habitacionales importantes  dentro de una instalación quedan inutilizables. Ataques que pueden ser evitados:

La disponibilidad se utiliza para recuperarse de los ataques de denegación de servicio. Existen alguna maneras buenas  y económicas de evitar un ataque de DOS, pero se puede utilizar el servicio de disponibilidad para reducir los efectos del ataque y para recuperarse del mismo restableciendo  los sistemas y las capacidades  en línea.

Bibliografía:

MAIWALD, Eric , FUNDAMENTOS DE SEGURIDAD DE REDES, Segunda Edición, Editorial McGraw-Hill, 2004

Por: Juan Carlos Romero - Pedro Damian Velez